Обсуждение статьи. Вопросы по теме.
Статья находится здесь (http://cert.uz/articles.php?t=3&doc=15#15)

Сейчас встает острый вопрос для сохранности своих данных и выбора метода их защиты. Данная статья подробно описывает, как с помощью PGP можно обеспечить себе защиту.
Если у вас будут, какие либо вопросы по работе и настройки программы PGP, пишите в данной теме. Мы обязательно ответим на интересующие вас вопросы данной темы.

Как мне известно криптография, создание ключей, шифр и сжатие информации яв-ся механизмами шифрования. В статье упоминаются все механизмы. Какой из механизмов является первым, вторым, третим и четвёртым этапом шифрования информации и какой из них считается главным?

Как мне известно криптография, создание ключей, шифр и сжатие информации яв-ся механизмами шифрования. В статье упоминаются все механизмы. Какой из механизмов является первым, вторым, третим и четвёртым этапом шифрования информации и какой из них считается главным?
Привилегированный алгоритм является AES
так же доступны алгоритмы AES, CAST, TripleDES, IDEA, Twofish - вы можете выбирать сами в опциях программы

очень простое замечание - не указали откуда брать эту очень полезную программу
второе, более серьёзное - не раскрыли тему специфики применения её на территории РУз, ведь, насколько я помню, уже давно там где-то в недрах есть программа по внедрению электронной подписи, в которой есть очень интересная строка, что все ключи должны сдаваться в гос. репозитарий ключей.
вообщем - копи-паст на лицо без всяких нужных добавлений от "автора" :(

очень простое замечание - не указали откуда брать эту очень полезную программу
второе, более серьёзное - не раскрыли тему специфики применения её на территории РУз, ведь, насколько я помню, уже давно там где-то в недрах есть программа по внедрению электронной подписи, в которой есть очень интересная строка, что все ключи должны сдаваться в гос. репозитарий ключей.:(

1. Много инфо на pgp.ru. Увлекательно
2. Так же есть ссылки на софт. Есть и бесплатная версия, вполне достаточная для большинства
3. То, что ВСЕ ключи должны сдаваться - нет такого. Просто есть организация - ЦНТМИ - которая выдает узбекские ключи для всякого рода официальной переписки, документооборота и т.д. Она может подтверждать, что данный ключ дествительно принадлежит данному владельцу и не компрометирован.

Да, сходил, почитал
Оказывается весьма увлекательно.
А наши гос. органы принимают уже документы в электронной форме подписанные цифровыми печатями? Налоговая же вон - своё собственное ПО разработала, хотя можно было бы внедрить именно эту цифровую подпись и придумать бланки для отчётов..

А наши гос. органы принимают уже документы в электронной форме подписанные цифровыми печатями?

пока не очень

Налоговая же вон - своё собственное ПО разработала, хотя можно было бы внедрить именно эту цифровую подпись и придумать бланки для отчётов..

ГНК работает на ЭЦП с узбекским алгоритмом шифрования. Стандартизован.

Программа хорошая но здесь надо ставить вопрос от кого мы защищаемся

Если от хакеров и др то можно внедрить программу
Если от зарубежных спецслужб то надо задуматься прежде чем использовать

Так как сами американские эксперты отмечают любая разрешенная к экспорту Крипто может быть взломана АНБ (Читайте Б. Шнайера, в том числе историю Pgp)

Так что можно его рекомендовать только для обычных юзеров

Программа хорошая но здесь надо ставить вопрос от кого мы защищаемся

Если от хакеров и др то можно внедрить программу
Если от зарубежных спецслужб то надо задуматься прежде чем использовать

Так как сами американские эксперты отмечают любая разрешенная к экспорту Крипто может быть взломана АНБ (Читайте Б. Шнайера, в том числе историю Pgp)

Так что можно его рекомендовать только для обычных юзеров
Сложно согласиться. PGP было экспортирована нелегально, так как США этому препятствовали. Продукт, если не ошибаюсь, был вевезен в Нидерланды, и получил распространение именно оттуда. США не могли достать его разработчки.

Было бы интересно получиь ссылку на "Читайте Б. Шнайера, в том числе историю Pgp". Может есть что-то новое в этом вопросе.

Cсылка на книгу Б.Шнайер http://www.ssl.stu.neva.ru/psw/crypto/appl_rus/appl_cryp.htm

Превый продукт PGP распространен нелегально потом посадили разработчика, после того как отпустили пошли слухи что он согласился сотрудничать с
Конечно эти слухи доказать сложно но практически все страны разработчики имееют экспортные ограничения

Cсылка на книгу Б.Шнайер http://www.ssl.stu.neva.ru/psw/crypto/appl_rus/appl_cryp.htm

Превый продукт PGP распространен нелегально потом посадили разработчика, после того как отпустили пошли слухи что он согласился сотрудничать с
Конечно эти слухи доказать сложно но практически все страны разработчики имееют экспортные ограничения

Слухи... Не уверен что зарубежные спец службы имеют доступ.
Можно обойти много защит, NTFS права, RC4 ... и тд, но со взломом PGP на практике - не видел...
Спасибо за ссылку, ознакомимся.

Здесь речь не идет о взломе программы
!Мы обычно слабо верим в то, что не видели своими глазами. Успешные же попытки получения информации никогда не становятся достоянием гласности. Вы можете представить себе такого ненормального шпиона, который добровольно пришёл куда следует и начал кричать: «Это я сделал!»? не мои слова

Можешь оставаться при своем мнении

Здесь речь не идет о взломе программы
!Мы обычно слабо верим в то, что не видели своими глазами. Успешные же попытки получения информации никогда не становятся достоянием гласности. Вы можете представить себе такого ненормального шпиона, который добровольно пришёл куда следует и начал кричать: «Это я сделал!»? не мои слова
Тогда как мы реально оценим, чему доверять, чему нет - касательно алгоритмов шифрования и их реализации. Нужно компетентное и независимое заключение.

Поэтому не зря все средства ЗИ сертифицируется, в России например ФАПСИ и др. И ФАПСИ требует использовании сертифицированных СКЗИ

Cсылка на книгу Б.Шнайер http://www.ssl.stu.neva.ru/psw/crypto/appl_rus/appl_cryp.htm

Превый продукт PGP распространен нелегально потом посадили разработчика, после того как отпустили пошли слухи что он согласился сотрудничать с
Конечно эти слухи доказать сложно но практически все страны разработчики имееют экспортные ограничения
кто-нить успел за это время прочитать?

У PGP есть серьезная проблема. Возможно, в новых версиях ее устранили или устранят, но в исходной статье она описана.
Эта проблема обеспечения доверия к открытым ключам для избежания атаки Man-in-the-middle. Пресловутое "кольцо" подразумевает, что доверенным способом ключ нового участника можно получить только от того, кому доверяешь.
При обмене данными со многими пользователями приходится хранить сложные цепочки доверия. Это преимущество для частного, домашнего обмена данными, но оно трудно применимо для бизнеса.
Для организаций / предприятий предпочтительна иерархическая модель доверия с удостоверяющими центрами...

У PGP есть серьезная проблема. Возможно, в новых версиях ее устранили или устранят, но в исходной статье она описана.
Эта проблема обеспечения доверия к открытым ключам для избежания атаки Man-in-the-middle. Пресловутое "кольцо" подразумевает, что доверенным способом ключ нового участника можно получить только от того, кому доверяешь.
При обмене данными со многими пользователями приходится хранить сложные цепочки доверия. Это преимущество для частного, домашнего обмена данными, но оно трудно применимо для бизнеса.
Для организаций / предприятий предпочтительна иерархическая модель доверия с удостоверяющими центрами...

PGP вроде не исключает возможность создания (использования) удостоверяющего центра. В зависимости от использования или нет данного центра можно строить разные доверительные отношения. Чей ключ не удостоверяется центром, тот получает меньший спектр услуг.

Так как сами американские эксперты отмечают любая разрешенная к экспорту Крипто может быть взломана АНБ (Читайте Б. Шнайера, в том числе историю Pgp)
Что мешает взять исходники PGP и скопилировать приложение с них, дабы убедиться что нет backdoor'ов, заодно можно алгоритм шифрования слегка поменять.

Что мешает взять исходники PGP и скопилировать приложение с них, дабы убедиться что нет backdoor'ов, заодно можно алгоритм шифрования слегка поменять.
А кто сказал, что PGP - opensource? GPG - может быть.

А кто сказал, что PGP - opensource? GPG - может быть.
Да, действительно, я ошибся. У PGP разрешается только посмотреть исходники и компилировать исключительно для тестирования.
А вот GPG — пожалуйста.

Что мешает взять исходники PGP и скопилировать приложение с них, дабы убедиться что нет backdoor'ов, заодно можно алгоритм шифрования слегка поменять.

А это еще зачем? :mad:

А это еще зачем? :mad:

кстати, "немного поменять" не имея глубоких знаний в области криптографии и используемого в ней математического аппарата означает "сильно ухудшить"

кстати, "немного поменять" не имея глубоких знаний в области криптографии и используемого в ней математического аппарата означает "сильно ухудшить"

Если есть знания, то желание "немного поменять" не возникает, IMHO :)

А это еще зачем?
Для тех кто страдает паранойей =), вообще я написал в ответ на:

Так как сами американские эксперты отмечают любая разрешенная к экспорту Крипто может быть взломана АНБ
То есть алгоритм менять, что бы пресловутые АНБ не открыли документ через подготовленные «чёрные ходы».

кстати, "немного поменять" не имея глубоких знаний в области криптографии и используемого в ней математического аппарата означает "сильно ухудшить"
Я бы даже сказал, что вообще не стоит работать с криптографическими программами не имея нужных знаний и квалификации.
Собственно поэтому я пока с ними и не работаю, пока только читаю =)

То есть алгоритм менять, что бы пресловутые АНБ не открыли документ через подготовленные «чёрные ходы». Как правило, они не открывают шифрованные документы через «чёрные ходы» алгоритмов, особенно учитывая, что PGP разработка сторонняя. В основном используются слабые места алгоритма, перебор. Таким образом, внесение изменений в алгоритм, ухудшая еего защищенность, просто ускоряет процедуру взлома.